Wigon.S Нодом не лечится.

[pl--alex]

Добрый день! У нас в конторе локалка на 6 компов, на 3х из них завелась вышеозначенная бяка. Как лечить - не знаю. И не знаю как она расползлась по компам в сети и как её расползание пресечь.
Остальные вири нод32 вроде как почистил.
Помогите, пожалуйста!
Вот файлы с одного компъютера. Если поможет, после лечения этого прицеплю файлы с других.

[PavelA]

Скачать IceSword
http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
. Запустить, выбрать File, откроется окно, в нем найти:
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\System32\drivers\tcpsr.sys
C:\WINDOWS\System32\Drivers\Dpp45.sys
'C:\WINDOWS\System32\Drivers\Gao54.sys'
'C:\WINDOWS\System32\Drivers\Ulw08.sys'
'C:\WINDOWS\System32\Drivers\Vbp47.sys'
На каждом нажать force delete, согласиться с предупреждением о перезагрузке.
здесь есть инструкция как пользоваться:http://virusinfo.info/showthread.php?t=17228

Далее не перезагружаясь,выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Temp\BN7.tmp','');
 QuarantineFile('C:\temp\user18.msi','');
 BC_DeleteSvc('Vbp47');
 BC_DeleteSvc('Ulw08');
 BC_DeleteSvc('Gao54');
 BC_DeleteSvc('tcpsr');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Dpp45.sys','');
 BC_DeleteSvc('Dpp45');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
 DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Dpp45.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Gao54.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ulw08.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Vbp47.sys');
 DeleteFile('C:\temp\user18.msi');
 DeleteFile('C:\WINDOWS\Temp\BN7.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки сделать новые логи и загрузить карантин через красную ссылку вверху страницы.

[pl--alex]

Большое спасибо!
Имеет ли смысл те же действиявыполнять на остальных компах с этим вирусом?

[Гриша]

Нет,не имеет,можете систему себе угробить,для каждого компа своя тема...

[pl--alex]

Скачать IceSword
http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
. Запустить, выбрать File, откроется окно, в нем найти:
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\System32\drivers\tcpsr.sys
C:\WINDOWS\System32\Drivers\Dpp45.sys
'C:\WINDOWS\System32\Drivers\Gao54.sys'
'C:\WINDOWS\System32\Drivers\Ulw08.sys'
'C:\WINDOWS\System32\Drivers\Vbp47.sys'
На каждом нажать force delete, согласиться с предупреждением о перезагрузке.

Нашёл только файл
C:\WINDOWS\system32\WinNt32.dll
Остальных не нашёл.
Таке случайно в глаза бросился файлик
C:\WINDOWS\system32\WinNt32.dl_
С ним что делать?

П.С. в логах нода вроде бы вируса более нет, т.к. до этого он после каждой перезагрузки определялся нодом.

П.П.С. Расскажите, пожалуйста, в чём зловредность данного червя?

[PavelA]

Не удалился гаденыш, надо будет повторять операцию.
В мече удалить C:\WINDOWS\system32\Drivers\Jla87.sys
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\WinNt32.dl_

После этого надо это все дело грохнуть через AVZ. Скрипт нарисую. Только пока не перегружай компьютер.

Добавлено через 2 минуты

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 
 SetServiceStart('Jla87', 4);
 QuarantineFile('C:\WINDOWS\system32\Drivers\Jla87.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\Jla87.sys');
 DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
 DeleteFile('C:\WINDOWS\system32\WinNt32.dl_');
BC_ImportDeletedList;
BC_DeleteSvc('Jla87');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Добавлено через 1 минуту

Этот малваре - из семейства Trojan-Downloader.Win32.Mutant

[pl--alex]

Не удалился гаденыш, надо будет повторять операцию.
В мече удалить C:\WINDOWS\system32\Drivers\Jla87.sys
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\WinNt32.dl_

Этот малваре - из семейства Trojan-Downloader.Win32.Mutant

Я после того как запостил, ещё раз проглядел и как раз это дело нашёл:
C:\WINDOWS\system32\Drivers\Jla87.sys
Вручную прибил. Сегодня окажусь в той конторе, гляну что к чему.

А что такое малваре?

PS C:\WINDOWS\system32\WinNt32.dll - файл только с вирем? Или файл ОС, заражённый вирем?

[PavelA]

Малваре - malware - троян, вирус, дроппер и прочее.
На сайте Олега Зайцева есть статья с классификацией.
Можно на www.viruslist.com посмотреть описание, либо в гугле имя, которое я написал набрать.

>>PS C:\WINDOWS\system32\WinNt32.dll - файл только с вирем? Или файл ОС, заражённый вирем?

Это про зверек, а его драйвер защищает. Будем ждать новые логи.

[pl--alex]

Новые логи:

[PavelA]

Что-то у тебя никак не получается. Придется повторить: теперь надо удалить Fcq43.sys и C:\WINDOWS\SYSTEM32\WinCtrl32.dll
WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
После каждого подтвердить, что будем делать перезагрузку.
затем сразу скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 
 SetServiceStart('Jla87', 4);
 QuarantineFile('C:\WINDOWS\system32\Drivers\Jla87.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\Fcq43.sys');
 DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
 DeleteFile('C:\WINDOWS\system32\C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
BC_ImportDeletedList;
BC_DeleteSvc('Fcq43');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

[pl--alex]

новые логи:

PS Файл winctrl нашёлся, winnt32 - нет. Также вместо Fcq43.sys при загрузке системы нод находит и удаляет похожий файл, но уже с другим названием.

PPS Что вредоносного делает этот червяк?

[Numb]

На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\??\c:\windows\system32\winlogon.exe','');
 QuarantineFile('c:\windows\system32\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Windf32.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Jla87.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Ikk54.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Gll65.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Gll65.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Gll65.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ikk54.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Ikk54.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Jla87.sys');
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\Jla87.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windf32.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\Windf32.sys');
 BC_DeleteSVC('Windf32');
 BC_DeleteSVC('tcpsr');
 BC_DeleteSVC('Jla87');
 BC_DeleteSVC('Ikk54');
 BC_DeleteSVC('Gll65');
DelWinlogonNotifyByFileName('WinCtrl32.dll');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=24089 , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил.
Downloader - собственно, и предназначен для закачки и установки по ( в данном случае, вредоносного ) на вашу машину.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\temp\\user18.msi - not-a-virus:RiskTool.Win32.HideProc.g (DrWEB: archive: archive: Trojan.PWS.Qqpass.1305)
  2. c:\\windows\\temp\\bn7.tmp - Trojan.Win32.Pakes.cwv (DrWEB: BackDoor.Bulknet.194)